Výběr nástrojů pro online kontrolu zabezpečení vašich webů

Pravidelnou údržbu svých webových stránek byste neměli podceňovat. Kromě nezbytných bezpečnostních aktualizací v redakčním systému byste měli kontrolovat i výskyt škodlivého softwaru, zabezpečení s SSL a další věci. Pomohou vám bezplatné online nástroje.

Drupal, Joomla nebo WordPress coby trojka nejpoužívanějších redakčních systémů v PHP nabízí kontrolu dostupnosti nových aktualizací pro sebe samy, ale i pro použité moduly/pluginy či témata vzhledu. Podobně je to u redakčních systémů postavených na jiných platformách.

Ovšem i v případě, že žádný ze zmíněných systémů na webu nemáte, vše si tvoříte ručně, měli byste zabezpečení webu pravidelně kontrolovat. Chyby mohou být ve frameworku, který používáte, v knihovně, kterou jste využili, či na serverové straně.

Nabízím přehled nástrojů, které čas od času také využívám a považuji za užitečné o nich vědět. I když s webem možná žádný problém nemáte, mohou vám alespoň poskytnout nějaké tipy na to, co by se dalo vylepšit.

Sucuri SiteCheck

Asi nejznámější nástroj pro kontrolu zabezpečení webů nabízí Sucuri. Bezplatný nástroj slouží vždy na ruční zavolání kontroly zvoleného webu, s měsíčním předplatným můžete kontroly nechat automatizovat.

Sucuri si poradí s weby s různými redakčními systémy, historicky si asi nejlépe rozumí s WordPressem, ale problém pro kontrolu není ani Drupal, Joomla, Magento nebo různá diskuzní fóra. Kontrola zahrnuje výskyt škodlivého software linkovaného na stránkách, kontrolu přítomnosti webu v některém z blacklistů, zabezpečení Sucuri Firewallem (musí nějak vydělávat) a aktuálnost použitých verzí daného systému.

V detailních informacích se pak dozvíte nejen verzi aktuální instalace WordPressu nebo Drupalu (jiné jsem nezkoušel), ale i použitou verzi PHP či webového serveru. Zajímavý může být i seznam framů nalezených ve stránce.

Sucuri SiteCheck

SSL Server Test

Pokud jste už konečně začali používat SSL (váš web tedy běží na https), pak koukněte na kontrolní nástroj od Qualys SSL Labs. Otestuje váš bezpečnostní certifikát, jeho podporu a sílu šifrování. Vše shrne do hodnocení ve formě písmenka, v detailech pak najdete podrobné informace o nalezeném certifikátu a simulaci přístupu na web s různými webovými prohlížeči, včetně těch mobilních. Snadno tak třeba zjistíte, že problém s webem by měl uživatel s IE6 (pokud by se takový dnes ještě našel).

SSL Server Test

Observatory by Mozilla

Z podobného soudku je nedávno spuštěný kontrolní nástroj od Mozilly. Její Observatory rovněž kontroluje zabezpečení v podobě certifikátu SSL, ale přidává k tomu řadu dalších kontrol. Je tak možné, že web, který měl ve výše uvedeném testu kladné hodnocení, zde příliš neobstojí.

Vyhodnocení probíhá na stobodové stupnici. Najdete zde tak kontrolu Content Security Policy (CSP), cookies, XSS, redirektů a řady dalších kritérií.

Za zmínku stojí, že tato observatoř má k dispozici API na GitHubu, takže ji můžete využít k automatizované kontrole nejenom svých projektů.

Observatory by Mozilla

Security Headers

Výsledky z webu securityheaders.io jsou částečně zahrnuty v observatoři od Mozilly, doporučuji však na ně kouknout i samostatně. Tento kontrolní nástroj vám zobrazí souhrnné hodnocení v podobě písmene a následně vypíše seznam hodnocených hlaviček a jejich vysvětlení, včetně doporučeného nastavení.

Security Headers

Google Transparency Report

Zjištění, že pro váš web Google zobrazuje stránku upozorňující na bezpečnostní problém, místo aby uživatele na web přesměroval, je vždy nepříjemné. Neuškodí, když tedy čas od času kouknete, jak si váš web u Google z hlediska bezpečnosti stojí.

Příslušný nástroj se v české verzi jmenuje poněkud komplikovaně Stav webu podle Bezpečného prohlížení a je součástí Google Transparency Reportu, který vás informuje o aktuálních bezpečnostních rizicích a jejich statistikách.

Google Transparency Report

Free Online Website Malware Scanner (Quttera)

A konečně poslední nástroj, jemuž kontrola také trvá ze všech zde uvedených nejdéle. Nekontroluje ovšem nastavení serveru jako řada předešlých nástrojů, ale podobně jako Sucuri vyhledává malware, tedy škodlivý kód vložený do webu.

Nástroj od společnosti Quttera mi Sucuri připomíná ve více ohledech, na rozdíl od něj však zde občas čekáte, až proběhne kontrola jiných webů ve frontě před vámi.

Výsledky kontroly kromě klasického výpisu nalezených problémů v konkrétních souborech, ukazují i použitý webový server, počty oskenovaných odkazů a kontrolu výskytu webu na blacklistech.

Free Online Website Malware Scanner (Quttera)

Security Advisories Checker od SensioLabs

Na úplný závěr jsem si nechal kontrolní nástroj, který stojí tak trochu bokem od výše uvedených. V případě, že stavíte vlastní aplikaci v PHP a využíváte přitom Composer, můžete si nechat pomocí Security Advisories Checkeru ověřit, zda ve vašem composer.lock nejsou umístěny knihovny, které v sobě mají bezpečnostní trhlinu.

Nástroj je zdarma a v betaverzi, kontroluje zatím omezenou množinu projektů. K dispozici je přes webové ovládání i jako aplikace pracující v příkazovém řádku. Podrobnější kontrolu pak nabízí SensioLabsInsight, a to zdarma pro projekty na GitHubu, Bitbucketu nebo v jiném git repozitáři.

Security Advisories Checker od SensioLabs

Buďme ve spojení, přihlaste se k newsletteru

Odesláním formuláře souhlasíte s podmínkami zpracováním osobních údajů. 
Více informací v Ochrana osobních údajů.

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.

Komentáře k článku

Přidat komentář

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Moje kniha o CMS Drupal

 

Kniha 333 tipů a triků pro Drupal 9


Více na KnihyPolzer.cz

Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

@maxiorel na Twitteru

Maxiorel na Twitteru